Agent.Teo trojan

 uradi kako piše u ovom postu, pa da pogledam, mislim da je računalo još uvije zaraženo 

 da, to je to....nisi mi kopirala RKreport.txt

RKreport.txt se nalazi na desktopu, otvori ta text file i sadržaj kopiraj na ovu temu

imaš zeroaccess rootkit i još par trojnana na računalu...zeroaccess je jako opasan rootkit i bilo bi dobro da ispratiš sve korake koje ću ti sad napisati...ako ima nešto da ti nije jasno, slobodno pitaj prije nego kreneš sa nekim korakom

1.zatvori sve otvorene programe uključujući i web preglednik

-preko add/remove izbriši sljedeće programe

-spybot search and destroy

-lavasoft ad-aware

-trojan remover

2.otvori OTS i ovo kopiraj u prazno polje

[Unregister Dlls]
[Registry - Safe List]
< Internet Explorer Settings [HKEY_USERS\S-1-5-21-816180927-65161584-2900576380-1000\] > ->
YN -> HKEY_USERS\S-1-5-21-816180927-65161584-2900576380-1000\: Main\\"Start Page Redirect Cache_TIMESTAMP" -> DF 85 45 B9 8E FE CA 01  [binary data]
YN -> HKEY_USERS\S-1-5-21-816180927-65161584-2900576380-1000\: URLSearchHooks\\"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> HKEY_USERS\S-1-5-21-816180927-65161584-2900576380-1000\: URLSearchHooks\\"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< HOSTS File > ([2009.06.10 22:39:37 | 000,000,824 | ---- | M] - 21 lines) -> C:\Windows\System32\drivers\etc\hosts
YN -> Reset Hosts ->
< BHO's [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
YN -> {99079a25-328f-4bd4-be04-00955acaa0a7} [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> {A057A204-BACC-4D26-C39E-35F1D2A32EC8} [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> {B922D405-6D13-4A2B-AE89-08A030DA4402} [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> {E312764E-7706-43F1-8DAB-FCDD2B1E416D} [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< Internet Explorer ToolBars [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar
YN -> "!{98889811-442D-49dd-99D7-DC866BE87DBC}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> "{99079a25-328f-4bd4-be04-00955acaa0a7}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> "{B922D405-6D13-4A2B-AE89-08A030DA4402}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> "10" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< Internet Explorer ToolBars [HKEY_USERS\S-1-5-21-816180927-65161584-2900576380-1000\] > -> HKEY_USERS\S-1-5-21-816180927-65161584-2900576380-1000\Software\Microsoft\Internet Explorer\Toolbar\
YN -> WebBrowser\\"{5B291E6C-9A74-4034-971B-A4B007A0B315}" [HKLM] -> Reg Error: Key error. [RadioBar Toolbar]
YN -> WebBrowser\\"{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
[Files/Folders - Created Within 30 Days]
NY ->  dec47863 -> C:\Users\Tomislava\AppData\Local\dec47863
[Files/Folders - Modified Within 30 Days]
NY ->  5 C:\Users\Tomislava\AppData\Local\Temp\*.tmp files -> C:\Users\Tomislava\AppData\Local\Temp\*.tmp
[Files - No Company Name]
NY ->  setup.exe -> C:\Users\Tomislava\AppData\Local\setup.exe
NY ->  promo.exe -> C:\Users\Tomislava\AppData\Local\promo.exe
[HardLinks - Junction Points - Mount Points - Symbolic Links]
YN -> C:\Windows\$NtUninstallKB22872$ -> Error: Cannot create file handle
[Alternate Data Streams]
NY -> @Alternate Data Stream - 148 bytes -> C:\ProgramData\Temp:CB0AACC9
NY -> @Alternate Data Stream - 16 bytes -> C:\Users\Tomislava\Downloads:Shareaza.GUID
[Purity]
[Empty Temp Folders]
[EmptyFlash]
[CreateRestorePoint]
[ClearAllRestorePoints]
[Reboot]

-klik na RUN FIX

-kada klikneš na run fix nestat će ti sve ikone sa desktopa, neka te to ne brine, nakon restarta će se sve vratiti u normalu

-log (.txt file) koji dobiješ nakon restarta kopiraj

3.skini tdsskiller i spremi na desktop

-pokreni program
-ako program zatraži restart dozvoli
-log se obično nalazi u c:/ i izgleda otpriike ovako
C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

4.skini combofix i spremi na desktop

-isključi antivirs (ako neznaš kako isključiti real time zaštitu izbriši kompletno antivirus, nakon čiščenja ga možeš opet instalirati)
-pokreni combofix i na sve što traži odgovori potvrdno
-log kopiraj na pastebin (log se nalazi u c:/ComboFix.txt...za slučaj da ga ne dobiješ nakon restarta)

5.ponovo pokreni rogue killer

-pokreni program i kad dobiješ upozorenje upiši 1 i potvrdi sa enter
-kad program završi sa scanom izbacit će log kojeg ćeš kopirati
-RKreport.txt

 --- User ---
[MBR] c7a837bfe9031be9a1c3c8893541f479
[BSP] 6aeb772518a1c0187b30cca774bf07d8 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 2048 | Size: 104 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 206848 | Size: 319965 Mo
User = LL1 ... OK!
User = LL2 ... OK!

dobro je , nema lažne particije....bit će jednostavno za riješiti :)

možeš biti sretna zbog toga :)

gore poviše sam ti napisao što sve moraš uraditi

Evo ovako je stanje nemoze mi napravit do kraja combofix te javlja sljedece evo slike

Imala nod sknila ga i nemogu ga vratit na pc.

 možeš li mi kopirati tdsskiller log ?

za combofix

povuci combofix.exe u smeće, skini novi i spremi na desktop

odi u safe mode i combofix pokreni preko safe mode

 ok, čujemo se kasnije....ne zaboravi combofix log poslati nakon scana, ako ni preko safe mode ne uspiješ pokrenuti combofix, na pp sam ti napisao što da uradiš :)

rootkit je uklonjen, ali imaš previše file replicatora....odradi scan sa kaspersky virus removal toolom....vidit ćemo da li je još što ostalo

nije mi bilo zakaceno da skenira c disk pa sad sken radin nanovo pa pisen sta bio.

i ovo sta je nasa i stavika u karantenu http://speedy.sh/k88Jv/Detected-threats.txt

Racunalo radi odlicno a sad cu probat stavit antivirus pa javin, samo me zanima sta da radin sa kaspersky virus removal toolom

Koji AV sada stavljaš?

[EDIT]

Kaspersky se onako samo zatvori, a zatim desna tipka na ikonu programa i delete. Bolje je toolbare uklonit s Revo Uninstallerom.

slika jer naravno zaboravin pribacit